¿ Quieres imprimir esta página ? Volver a la página principal de Recursos iSeries AS400 ¿ Necesitas ayuda ? En pruebas
System i5 iSeries AS400 Recursos. Compartiendo generamos conocimiento
Novedades en Recursos iSeries AS400
Noticias tecnológicas

Documentos
Los programas de salida son esenciales para proteger tu iSeries 400 

Los programas de salida son esenciales para proteger tu iSeries 400 
Por
Wayne O. Evans
Wayne O. Evans Consulting, Inc 
Contenidos
Los programas de salida (Exit-Programs) son Esenciales 2
Introducción 2
Como está organizado este Documento 2
Capas de protección 2
La Capa de Aplicación 3
El uso extendido ha aumentado los riesgos potenciales 3
El AS/400 es una plataforma segura 4
Bases de los programas de salida 5
¿Por qué los programas de salida se llaman programas de salida? 5
¿Dónde están los programas de salida documentados? 5
¿Como sé yo qué salidas están implicadas en una transacción? 5
¿Cómo grabar un programa de salida? 5
Atributos de red DDMACC y PCSACC 5
La utilidad de registro. 5
Escribir Programas de Salida no es Sencillo 5
Detalles Técnicos de los Programas de Salida 5
Muestra de Programas de Salida 5
Parámetros pasados a los programas de salida. 5
Prevención de comandos remotos. 5
Prevenir comandos remotos y la Carga de Ficheros 5
Restringir la transferencia de ficheros a bibliotecas específicas 5
Salida de Cliente Optimizada 5
Programas de salida FTP y TELNET 5
PentaSafe Remote Request Management 5
Visión general 5
Usando Remote Request Management 5
Configuración 5
Recolección de peticiones 5
Gestión de Peticiones 5
Resumen 5
Conclusión 5

Tablas y Gráficos
Tabla 1 Documentación IBM sobre Exit Points 5
Figura 2 Programa de salida para grabar el uso de salidas 5
Figura 3 Métodos para Registrar Exit Programs 5
Figura 4 Prevenir Comandos Remotos 5
Figura 5 Prevenir Comandos Remotos y Carga de Ficheros. 5
Figura 6 Restringir Transferencia de ficheros a Bibliot. específicas 5
Figura 7 Restringir Transferencia Archivos a Bibliot. específicas para clientes optimizados. 5
Figura 8 Lógica para comprobar Lista de Autorizaciones 5
Figura 9 Recopilación de peticiones. 5
Figura 10 Mantenimiento RRM Defaults 5
Figura 11 Gestión de Peticiones. 5


Los programas de salida (Exit-Programs) son Esenciales 

Confiar en la seguridad a través de menú para limitar las acciones del usuario no es adecuado para proteger los datos de producción en el actual AS/400. La seguridad por Menú no previene al usuario de un sistema remoto de ejecutar un FTP (file transfer protocol) o una transferencia de fichero Client Access para cargar o descargar ficheros de producción. Los usuarios remotos pueden ejecutar comandos CL incluso cuando el perfil de usuario restringe la introducción de comandos.

Los programas de salidas son pues esenciales para controlar las acciones de usuarios remotos. Este documento describe cómo los programas de salida pueden constituir una efectiva capa de protección para tus datos de producción. Después de leer este artículo entenderás :

* El porqué los programas de salida son esenciales para proteger los datos.
* Cómo se identifican los programas de salida.
* Cómo implementar programas de salida simples para limitar las acciones de usuarios remotos.
* Cómo el "PentaSafe Remote Request Management" puede resolver los requisitos de tu programa de salida. 

Introducción
Como está organizado este Documento 
Esta introducción te facilita un trasfondo para entender el porqué se necesitan los programas de salida y como éstos te ofrecen una protección adicional. La sección de detalles técnicos dará sugerencias para los gestores del sistema en la aplicación de programas de salida incluyendo un ejemplo de programa. La sección final describe la función específica de Pentasafe llamada "Remote Request Management". La "Remote Request Management" permite al administrador del sistema definir una política (reglas) para aquellas peticiones remotas que serán aceptadas o rechazadas. El "Remote System management" puede fácilmente autorizar a los usuarios a los datos que deben ser accedidos mientras que puede rechazar las peticiones que no se permiten.
Capas de protección

La protección de la información puede entenderse como distintas capas de protección parecidas a las distintas capas de una cebolla. Esta protección en capas dificultaría que un hacker pueda ganar acceso no autorizado a la información. Si un usuario no autorizado (hacker) transige una de las capas, se enfrentará con otra protección en otra capa distinta.

La Figura 0 muestra las capas de protección utilizadas para proteger los datos. Las distintas aplicaciones de seguridad seleccionarán las siguientes capas de protección . 
* La capa física requiere que el usuario tenga algún impedimento físico antes de conseguir el acceso como una llave, control inteligente o biométrico (huella dactilar, scanner de retina).
* La protección de la capa de red utiliza la tecnología de encriptación para proteger las transmisiones de datos. Esta capa evita la revelación de la información transmitida mediante la encriptación y, los códigos de autentificación de mensajes previenen a su vez de la revelación y la falsificación.
* La capa de aplicación incluye programas como seguridad por menú y controles de la aplicación para ocultar la información y restringir funciones basadas en el acceso de usuario. Los programas de salida están incluidos en la capa de aplicación porque restringen las acciones y los objetos a los que un usuario puede acceder. Los programas de salida pueden entenderse como una seguridad por menú extendida a los usuarios remotos del sistema. 
* La protección de la capa de objeto son los controles de acceso tradicionales incorporados en el AS/400. Este control es forzado por el sistema en cada petición para acceder a los datos. 
* La capa de encriptación protege datos altamente sensibles a través de su almacenamiento en un formato que necesita de la utilización de claves de encriptación para descubrir el contenido de esta información.
La Capa de Aplicación
La protección de la Capa de Aplicación se implementa por controles forzados por los programas y menús. Los programas permiten a los usuarios autorizados acceder a funciones y datos mientras que los no autorizados no disponen de acceso. Esto se ilustra con el menú de seguridad. El Menu security limita las acciones del usuario a las opciones que se le permiten en sus menús de programa. Normalmente en el menú de seguridad los usuarios no disponen de acceso a la línea de comandos. La seguridad por Menú es ampliamente utilizada en las instalaciones de AS/400 para proteger la información y dar a los usuarios un interface simple para acceder a la información. Parecido a la seguridad por menú, los programas de salida pueden limitar a una pantalla las peticiones de usuarios remotos. Los programas de salida pueden aceptar o rechazar las peticiones para una función y pueden usar los siguientes criterios para aceptar o rechazar una petición :
* Operación que se intenta (comando remoto , fichero cargado o descargado) 
* Objeto y/o biblioteca que está siendo accedidos,
* Hora del día
* Dirección de Internet del usuario remoto
El uso extendido ha aumentado los riesgos potenciales
Muchas instalaciones dependían de la seguridad por Menú para proteger sus datos cuando el único método de acceso eran terminales dependientes del host (terminales tontos).Cuando el acceso de los usuario al sistema estaba limitado a esos dispositivos con funciones fijas , la seguridad por menú era un método adecuado para las acciones de usuario. El usuario de PC de hoy en día dispone de métodos de acceso que no existen en los terminales tontos. 

Los usuarios de Client Access disponen de un icono al que deben hacer click para activar las operaciones de transferencia de ficheros (carga y descarga). El interface de usuario del Client Access a la transferencia de ficheros es amigable, donde el sistema muestra los nombres de usuario para los ficheros autorizados y bibliotecas. Un usuario curioso no necesita conocimientos de nombres de objeto o interfaces de sistema y rápidamente podría cargar o descargar datos de producción. Traspasar la seguridad de menú que intenta limitar qué opciones puede un usuario seleccionar es relativamente sencillo para los usuarios de PCs o otros sistemas remotos

El protocolo preferido para el AS/400 de hoy en día es el TCP/IP. TCP/IP le da al usuario la capacidad de utilizar FTP para cargar y descargar ficheros de producción y/o ejecutar comandos CL en tu AS/400. Estos usuarios remotos no están restringidos por controles de programa y tienen el potencial para modificar y/o borrar los ficheros de datos de producción . De la misma manera que en la transferencia de ficheros de Client Access; el usuario de FTP puede obtener listas de ficheros que pueden ser transferidos. El interface FTP no es tan amigable como la transferencia de ficheros del Client Access, pero existen interfaces fáciles de usar para la transferencia de ficheros para hacer que el FTP sea tan sencillo de utilizar como la transferencia de ficheros del Client Access .
Cuando se usa la seguridad por menú , la capacidad de limitar (el parámetro LMTCPB) en el perfil de usuario puede restringir la utilización de comandos CL. No obstante, ambos, tanto el usuario de Client Access como el de FTP , pueden emitir comandos CL al AS/400.

Por si los riegos de seguridad creados por el FTP o Client Access no fueran suficientes, la Gestión de Datos Distribuida (Distributed Data Management (DDM)) representa un tercer método para que los usuarios accedan a los ficheros de datos. La DDM permite un programa en sistemas remotos (PC, S/36, S/38, o AS/400) que lee y escribe los ficheros en un sistema de destino . Los usuarios remotos en el sistema de origen inician peticiones al sistema de destino donde los datos se almacenan. Al igual que Client Access y FTP, DDM también permite la ejecución de comandos desde el acceso local a los ficheros. El comando CL SBMRMTCMD (submit remote command) es un interface CL para la ejecución de comandos desde sistemas remotos. 
El AS/400 es una plataforma segura
La arquitectura de seguridad del AS/400 es una de las mejores de los sistemas disponibles comercialmente. La seguridad del AS/400 se aplica por debajo del interface de máquina de forma que el AS/400 no está sometido al potencial de hackers que modifiquen las funciones de control de la seguridad. Pero tú podrías también tener las mejores cerraduras instaladas en tu casa y fallar en utilizarlas o dejar la puerta abierta , de forma que disponer de la mejor protección no te mantiene a salvo de un intruso. De la misma manera, respecto a la seguridad del AS/400, la seguridad forzada por el sistema es excelente pero a menudo las instalaciones fallan en la utilización de la protección disponible o dejan abiertas puertas traseras.

La capa de protección de la seguridad del AS/400 es tan fuerte que una instalación puede usar la seguridad del AS/400 para limitar el acceso a los datos de manera que los programas de salida no serían necesarios. No obstante, la aplicación de la seguridad en la práctica del AS/400 hace que muchos de los controles de seguridad no sean efectivos. Los usuarios habituales dispondrán de acceso a los datos porque los necesitan para ejecutar los programas de producción. Algunos paquetes de aplicaciones muy populares recomiendan asignar a los usuarios perfiles de grupo que sean los propietarios de los datos de producción. Cuando los usuarios son miembros de un perfil de grupo que es dueño de los datos de producción disponen de acceso *ALL a los datos. La pertenencia a este grupo tiene el efecto de eliminar la protección de la capa de objetos. 
Muchas instalaciones de AS/400 han fallado donde los usuarios gozaban de demasiado acceso a los datos. Esto ocurre cuando la autorización pública para los objetos es demasiado amplia o demasiados usuarios disponen de permiso especial *ALLOBJ .

En vez de corregir el débil diseño de seguridad de los sistemas, muchos administradores de sistema utilizan los programas de salida para limitar las acciones de usuario desde sistemas remotos. Las buenas noticias son que los programas de salida son un método efectivo para controlar las acciones de usuario , incluyendo incluso a aquellos con permiso *ALLOBJ. Este documento describe cómo utilizar estos programas de salida para ejercer ese control.

Bases de los programas de salida
¿Por qué los programas de salida se llaman programas de salida?
Normalmente, el nombre de los programas describe la función que el programa realiza como programa de "nómina", programa "de entrada de pedidos". Esta analogía no funciona en el caso de los "Exit Programs". El propósito de los programas de salida no es la SALIDA sino que permiten a la instalación ejecutar una función cuando se recibe una petición. La función habitual de los programas de salida es suplir la seguridad existente al determinar que peticiones son aceptadas o rechazadas. Un nombre más apropiado habría sido supplemental security programs (SSP), algo así como programas de seguridad suplementarios , pero el acrónimo ya estaba siendo utilizado así que se quedó en programas de salida .

Estos programas se llaman de salida porque el sistema (OS/400) sale a un programa de instalación ya creado , antes o después que la petición es procesada. La Figura 1 muestra el flujo desde el servidor al programa de salida y su retorno

1. Un usuario del sistema de origen envía una petición al sistema de destino. Esta petición es a menudo una transacción que leerá o escribirá datos o lanzará un comando al sistema destino. 
2. El OS/400 reconoce la petición y la dirige al servidor. 
3. Si el servidor detecta un programa de salida para esa petición , se llama al programa pasándole los parámetros de describen la petición. Si no existe programa de salida, el paso 4 se omite. 
4. El programa de salida analiza los parámetros pasados por el servidor para determinar si la petición debe o ser aceptada. El programa de salida configura un código que devuelve para admitir o rechazar la petición antes de devolverle el control al servidor.
5. El código devuelto desde el programa de salida le dice al servidor que procese o rechace la petición. El programa de salida puede aceptar la petición pero el servidor puede no estar autorizado o no hallar las condiciones y provocar que la petición finalmente se rechace. Los controles del OS/400 a nivel de la seguridad de objetos son forzosamente independientes del programa de salida. 
¿Dónde están los programas de salida documentados?
Tabla 1 Documentación IBM sobre Exit Points
Client Access (File transfer, ODBC)
AS/400 Client Access Host Servers SC41-5740

Distributed Data Management
(DDM, remote commands)
AS/400 Distributed Data Management SC41-5307

Internet (Telnet, FTP)
TCP/IP Configuration and Reference SC41-5420

Security and Other Application Program Interfaces
System API Reference Security APIs SC41-5872
System API Reference SC41- 5801
La documentación de IBM sobre programas de salida se muestra en la Tabla 1. No existe una fuente única donde los programas de salida estén documentados. 
Una búsqueda en la biblioteca on-line de IBM por "exit programs" nos devuelve más de 360 referencias. Estas referencias de IBM son muy interesantes en la descripción de parámetros que se traspasan y cómo el servidor interpreta los códigos que le son devueltos. 

No obstante una de las cuestiones más críticas no está documentada demasiado bien. 
¿Como sé yo qué salidas están implicadas en una transacción?
Los manuales de IBM no tiene una referencia tipo "dónde se usan "y necesitas saber qué salidas se invocan para cada tipo de transacción. Para responder a esta pregunta debes investigar un poco . Una de las técnicas es escribir un programa de salida simple como el que se muestra en la Figura 2 Programa de salida para grabar el uso de salidas . Cambia el tipo de campo en el comando SNDJRNE para identificar las diferentes salidas y grabar el programa en todas las salidas sospechosas. 

PGM PARM(&RC &STRU)
DCL VAR(&RC) TYPE(*CHAR) LEN(1) 
DCL VAR(&STRU) TYPE(*CHAR) LEN(80)
MONMSG MSGID(CPF0000) EXEC(GOTO CMDLBL(EXIT))
CHGVAR &RC VALUE('1') /* Allow requests */
SNDJRNE JRN(QAUDJRN) TYPE(X1) ENTDTA(&STRU)
EXIT:ENDPGM 
Figura 2 Programa de salida para grabar el uso de salidas 
El capítulo 4 de la documentación de PentaSafe PSSecure-400 tiene las mejores referencias cruzadas de funciones para programas de salida que he podido encontrar, pero incluso ese documento es difícil de seguir a menos que estés familiarizado con los detalles de los programas de salida. 
¿Cómo grabar un programa de salida?
Existen 2 dos formas de grabar un programa de salida, usando atributos de red o la utilidad de registro. Esta utilidad fue introducida con posterioridad y tiene más flexibilidad que los atributos de red. Sin embargo, los atributos de red son importantes porque son la única forma de especificar programas de salida para DDM.
Atributos de red DDMACC y PCSACC 
Cuando en un principio se introdujeron los programas de salida en el S/38, había sólo unas pocas salidas de forma que IBM creó dos atributos de red 
* DDMACC - Distributed Data Management Access
* PCSACC - PC Support Access (Ahora llamado Client Access)
Estos atributos de red especifican un nombre de programa cualificado en el comando CHGNETA. Un usuario con permiso especial *ALLOBJ puede especificar los programas de salida utilizando el siguiente comando. 
CHGNETA DDMACC(EXITLIB/EXIT2) PCSACC(EXITLIB/EXIT2)

Como el sistema crecía, el número de puntos de salida se incrementó , así que mucha peticiones utilizaban el mismo punto de salida. Esto llevó a que el programa de salida se llamara en ocasiones cuando no era requerido y en otras incrementaba el consumo del sistema. La utilidad de registro es el único lugar donde pueden definirse nuevos puntos de salida. Los atributos de red se mantienen sólo para la compatibilidad de release a release. 
La utilidad de registro.
La utilidad de registro se invoca a través del comando WRKREGINF (Work Registration Information). 

Existen 56 puntos de salida definidos en la Version 4 Release 4. El número de exit points ha crecido con cada release. La utilidad de registro puede incluir tanto puntos de salida de IBM como de otros software. 

A pesar de que el número de puntos de salida ha hecho la utilidad de registro más compleja, la idea es similar a la de los atributos de red. La utilidad de registro, así, puede verse como un depósito de nombres de programas de salida.

Siguiente



Exit Programs.( Wayne O.Evans , e-mail: WOEvans@aol.com

Traducción autorizada al Español realizada por http://www.recursos-as400.com

17-11-2001

Comentarios de usuarios

Nombre:
Mail:
Comentario:
 

Subir a la parte superior de la web

 

NUESTRA COMUNIDAD EN
ÚNETE Y.... ¡¡ PARTICIPA !!
Dossiers técnicos iSeries y AS400
- Seguridad
- Alta disponibilidad.
Nuestros links favoritos
- Tendencias tecnologías de la información
Expertos en tecnologías de la información, nos dan su punto de vista sobre las tendencias actuales y futuras
- Los últimos anuncios sobre hardware-software para iSeries AS400 realizados por IBM
- Freeware y shareware para el iSeries AS400
- Utilidades para el iSeries AS400 realizadas por profesionales
- Documentos. Trucos e ideas para resolver tus problemas
- Los manuales y links más interesantes del iSeries AS400

  Links patrocinados
  •  
  •  

[ Soy nuevo |   Profesionales |   AS qué |   Empresas |    Foros |   Recomiéndanos |    Productos ]
 
Recursos iSeries AS400. Es una web de: PUBLICACIONES HELP400, S.L. CIF:B-60-202827 Gran Vía de les Corts Catalanes, núm. 715, Entresuelo – 3ª - Barcelona - Tel.+34.932.310.049